中国移动网络与信息安全探索与实践.ppt

目录 一、电信行业安全面临的挑战 1、信息通信技术发展带来的挑战 2、攻击技术演变导致威胁增强 3、企业面临的风险日益增高 二、中国移动的安全保障体系 三、中国移动安全工作实践经验 ICT发展带来的挑战 信息通信技术(ICT)的发展，使得新的移动通信网区别于2G传统的通信网络，网络的数据化、终端的智能化、以及业务的多媒体化，都给网络安全运营带来新的挑战。 网络数据化：通信网已由传统封闭的电路交换网络，向开放互联的数据网转变，提供给用户的速度越来越快，开放性与互联性会带来更多的安全漏洞。 终端智能化：通信终端向智能化发展，也会如通用计算机一样出现安全漏洞，终端感染后的病毒蔓延也会影响到通信网络。 业务的多媒体化：业务不再局限于语音，基于IP的数据业务开展越来越多，多样的业务也存在着更多的安全漏洞。 企业面临的风险日益增高 信息通信技术的发展带来网络、业务和终端的数据化，导致安全漏洞越来越多； 攻击的多样性和易用性，使得对业务和系统的威胁越来越大; 漏洞的增多、威胁的增大，使得通信运营企业面对的安全风险日益增高。 企业应对安全风险的策略：风险的管理和控制 对风险的控制不仅包含技术，还有管理； 安全涉及管理、技术、业务、人员、法律等多个方面。 目录 一、电信行业面临的挑战 二、中国移动的安全保障体系 1、安全工作是系统工程 2、中国移动安全工作的战略目标 3、中国移动安全工作的指导思想 4、安全保障体系框架 5、安全组织架构 6、安全标准体系的框架 7、安全运作体系的框架 8、安全技术体系的框架 三、中国移动安全工作实践经验 安全是一项系统工程 安全工作的战略目标 建立中国移动网络与信息安全保障体系NISS，对涉及公司业务运作的所有信息资产（通信网和业务系统、各支撑系统，涉及网络、市场、财务、研发、人力的各类重要信息）进行保护。 可用性 确保被授权用户能够在需要时获取网络与信息资产 完整性 确保网络设施和信息及其处理的准确性和完整性 保密性 确保网络设施和信息资源只允许被授权人员访问 网络与信息安全保障体系NISS 安全组织架构 安全标准体系 安全运作体系框架 安全技术体系框架 目录 一、电信行业面临的挑战 二、中国移动的安全保障体系 三、中国移动安全工作实践经验 1、安全体系的切入点 2、预警与应急相结合的主动防御 3、案例一：CISCO漏洞的处理 4、案例二：对狙击波病毒的处理 5、形成有效的安全保障合作体系 6项安全基础工作（一） 以6项安全基础工作为切入点，建立中国移动安全保障体系 安全域划分与边界整合 根据不同系统的价值和安全风险等级，确定各安全域不同的保护等级，实施安全防护。 生产终端集中安全管理 实现终端安全集中管理和接入控制，统一的防病毒。 账号口令集中管理 对主机、网络设备等系统层面的账号进行集中统一管理。 6项安全基础工作 安全预警 建立统一的安全预警信息获取和发布渠道，并与电子运维系统实现联动，使安全预警信息得到及时有效的处理。 安全补丁管理工作 建立安全补丁的管理流程，明确安全补丁的加载原则和管理架构。 服务与端口管理工作 明确系统使用的服务及端口情况，关闭不用的服务及端口。 6项安全基础工作已在10个省试点完成，正准备在全网推广实施。 主动防御策略 安全预警和事件响应相结合 安全预警是在攻击发生之前，针对系统存在的漏洞，以及是否存在利用漏洞的攻击方法进行预警预防； 事件响应是在攻击发生后，进行的应对处理。 安全预警是在最佳执行点进行的应急工作 实施成本低、损失低、对执行人员素质要求相对低。 应急响应是安全工作基础 预警不能完全消除事件发生的可能，事后应急是安全的最后保障。 通过安全预警和应急响应的有机结合，实施主动防御策略，不断提高安全工作效能！ 集中的安全预警体系 预警信息渠道 原厂家、安全厂商、国内国际安全组织。 解决方案的制定 总部集中分析； 集成商、原厂商、省公司、安全专家多方参与； 输出中国移动可执行的应急方案和根除方案。 实施 对于紧急级别的漏洞，总部方案选点测试，全网统一实施； 对于其他级别的漏洞，总部提供参考方案，各省结合实际实施。 总部集中发布预警信息，部署各省做好预防 案例一：CISCO漏洞的处理 背景： 2004年1月，CISCO公布其路由器存在严重安全漏洞。 挑战 全网许多路由器受此漏洞影响； 全面升级风险过大，周期过长； 春节封网临近，时间紧，任务重。 流程 组织CISCO工程师、维护人员、安全人员参与寻求应急方案； 通过分析现网实际的威胁源，缩小受影响设备范围——提供第三方接入服务CISCO路由器； 寻求对设备影响最小的解决方案——启动MPLS流量工程功能； 在广东测试，确保对业务无影响，再全面推广